Contrato inteligente abandonado de Aztec Connect drenó $2.1M

Aztec Connect, una plataforma DeFi obsoleta vinculada a Aztec Network, fue drenada de aproximadamente $2.1 millones en cripto tras un atacante explotar una vulnerabilidad en la lógica de verificación de transacciones de la plataforma. El incidente resalta cómo los contratos "abandonados" pueden seguir siendo objetivos viables mucho tiempo después de su retiro oficial.

Aztec Labs dijo en X que está investigando una posible explotación que afecta a Aztec Connect y que aproximadamente $2.1 millones fueron transferidos desde el contrato inteligente de la plataforma. La empresa añadió que el problema no afectó a los usuarios ni a los activos en la red Aztec actual.

• Aproximadamente $2.1 millones fueron robados de Aztec Connect después de que el atacante abusara de su ruta de verificación y liquidación.
• BlockSec dijo que las transacciones verificadas no estaban efectivamente vinculadas al conjunto de transacciones exigido por la prueba ZK, creando una vía para retirar saldos no respaldados.
• Se informa que el atacante ejecutó el exploit siete veces en siete activos, acumulando 909 ETH y 270.000 DAI, entre otros.
• Aztec Connect fue descontinuado en marzo de 2023, con los depósitos suspendidos y el equipo pasando a Aztec Network.
• Aztec Labs declaró que no tiene claves de administrador y no puede pausar ni actualizar Aztec Connect, mientras que un desarrollador dijo que los contratos se volvieron completamente inmutables.

En su actualización pública, Aztec Labs describió una explotación aparente que afectó el contrato inteligente de Aztec Connect y señaló que se transfirieron aproximadamente $2.1 millones. La empresa enfatizó que el incidente no afectó los activos ni los saldos de los usuarios en la red Aztec en funcionamiento.

Aztec Connect está vinculado al ecosistema de ZK rollup centrado en la privacidad construido sobre Ethereum. Según el mismo contexto proporcionado en el informe, Aztec Connect era una versión anterior de la plataforma lanzada en 2022 como un puente DeFi.

La empresa de seguridad BlockSec dijo que el atacante aprovechó una discrepancia en cómo Aztec Connect verificaba las transacciones en comparación con cómo las liquidaba en Ethereum.

La explicación de BlockSec se centró en cómo el sistema manejaba la relación entre las transacciones verificadas y el conjunto de transacciones impuesto por la prueba ZK. En su opinión, las transacciones aprobadas a través de la ruta de verificación de Aztec Connect no estaban efectivamente vinculadas al conjunto de transacciones impuesto por la prueba ZK. Esa brecha permitió que la lógica de verificación y liquidación del contrato en Ethereum interpretara la lista de transacciones de manera diferente.

Con esa inconsistencia, el atacante pudo colocar transacciones de manera que el contrato acreditara valor sin que se realizara la validación correspondiente en Ethereum. BlockSec indicó que esto permitió la creación de saldos no respaldados, que luego podrían retirarse.

BlockSec también informó que el atacante repitió la técnica múltiples veces: siete veces en siete activos diferentes, en lugar de depender de un solo movimiento.

El robo incluyó supuestamente 909 Ether (ETH), 270.000 Dai (DAI), 167 ETH stakeado envuelto y varias otras criptomonedas. Un publicación separada de CertiK había sido citada en el informe original como ejemplo de algunos de los activos sustraídos.

El incidente de Aztec Connect ocurre en medio de un período activo para los ataques a DeFi. Los datos de DeFiLlama mencionados en el informe indican que hasta ahora este mes se han robado $44 millones en criptoactivos a través de al menos 12 ataques distintos.

A principios de junio, el robo más grande mencionado estuvo relacionado con una compromisión de la clave privada en Humanity Protocol, con $30 millones supuestamente perdidos el 8 de junio. Los informes también señalan un incidente separado en el Syscoin Bridge el día anterior, donde se supone que $8 millones fueron robados mediante una explotación de prueba falsa.

Aztec Connect fue oficialmente descontinuado en marzo de 2023, cuando se detuvieron los depósitos y el equipo redirigió los recursos de desarrollo hacia la próxima generación de Aztec Network. Sin embargo, el proceso de descontinuación no eliminó el riesgo planteado por la lógica subyacente del contrato inteligente.

Aztec Labs afirmó que no posee claves de administración y, por lo tanto, no puede pausar ni actualizar el sistema. Esto significa que la incapacidad de la plataforma para ser ajustada por el equipo puede dejar sin resolver fallas lógicas conocidas o emergentes, especialmente si el código del contrato permanece en Ethereum.

Un desarrollador de cripto identificado como “Param” también dijo que los contratos inteligentes de Aztec Connect se volvieron completamente inmutables, lo que significa que ya no se pueden actualizar ni pausar.

Esa combinación—deprecación sin autoridad de actualización—ayuda a explicar cómo una vulnerabilidad puede surgir mucho tiempo después de que un producto haya sido retirado. Como se señaló en el informe, el incidente es otro recordatorio de que los contratos DeFi abandonados o deprecados aún pueden atraer a atacantes años después, especialmente cuando la explotación depende de la semántica fundamental del contrato en lugar de parámetros operativos temporales.

Los investigadores probablemente se centrarán en si los fondos retirados se transfirieron inmediatamente a plataformas de liquidez o siguen siendo rastreables en los flujos en cadena, mientras que la respuesta del ecosistema Aztec podría centrarse en confirmar el alcance del impacto y fortalecer los límites entre la lógica de verificación y liquidación. Para los usuarios, la lección práctica es tratar los contratos obsoletos como aún riesgosos: el código inmutable puede seguir siendo explotable mucho tiempo después de que se hayan desactivado los depósitos.

Este artículo se publicó originalmente como Aztec Connect: Contrato inteligente abandonado drena $2,1 millones en Crypto Breaking News: tu fuente confiable para noticias de cripto, noticias de bitcoin y actualizaciones de cadena de bloques.